Inicio » ISO 27001 en México · Guía completa del SGSI 2022

- CERTIFICACIÓN - ISO 27001 Sistema de Gestión de Seguridad de la Información (SGSI)

Hub México · ISO 27001

ISO 27001 en México · Guía completa del SGSI 2022

Icono de marco ISO 27001 de QMA Certeza ISO/IEC 27001:2022 es el estándar internacional que define el Sistema de Gestión de Seguridad de la Información (SGSI). Es el marco que organizaciones serias adoptan para proteger información de clientes, propiedad intelectual y datos regulados de forma sistemática, auditable y mejorada continuamente. La revisión 2022 reorganizó el Annex A en 93 controles bajo 4 themes y refleja el panorama actual de amenazas: cloud, threat intelligence, privacidad por diseño.

En México, ISO 27001 dejó de ser una conversación opcional. El Plan Nacional de Ciberseguridad 2025-2030 exige a la APF y a su cadena de proveedores TIC contar con un marco SGSI maduro. La iniciativa de Ley de Ciberseguridad esperada para el segundo semestre de 2026 amplía las obligaciones a operadores de infraestructura crítica. CNBV y Banxico alinean su Circular Única con el Annex A. Y en el mercado privado, el comprador enterprise o extranjero pide certificación ISO antes de firmar contrato.

Este hub te entrega el overview completo del estándar, las cuatro etapas del journey de certificación, la mecánica de los 93 controles y las siete cláusulas obligatorias, el mapeo cross-framework hacia NIST CSF, SOC 2 y PCI DSS, y el wedge propio de QMA: Threat-Informed Compliance — implementación de controles priorizada con inteligencia de amenazas real, no con orden alfabético del Annex.

93 controles Annex A 2022 4 themes · Organizational · People · Physical · Technological Plan Nacional + Ley Cibersec ready Threat-Informed Compliance

Solicitar diagnóstico ISO 27001 Conocer QMA Certeza Descargar brochure

Qué es ISO 27001:2022

ISO/IEC 27001 es el estándar internacional —publicado conjuntamente por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC)— que especifica los requisitos para establecer, implementar, mantener y mejorar de forma continua un Sistema de Gestión de Seguridad de la Información dentro del contexto de una organización. Es la tercera revisión publicada: 2005 → 2013 → 2022.

A diferencia de una norma técnica que solo describe controles, ISO 27001 define el proceso: cómo identificar partes interesadas, evaluar riesgos, seleccionar controles, documentar el SGSI, medir desempeño, auditar internamente y mejorar. Las empresas se certifican en ISO 27001 (el SGSI). La norma hermana ISO/IEC 27002:2022 sirve como guía técnica detallada de los 93 controles del Annex A; no se certifica en 27002, se referencia.

Los cambios estructurales de 2022 frente a 2013 son sustantivos: el Annex A pasó de 114 controles agrupados en 14 categorías técnicas a 93 controles agrupados en 4 themes: Organizational, People, Physical y Technological. Se incorporaron 11 controles nuevos —entre ellos threat intelligence, ICT readiness for business continuity, cloud security, data masking, monitoring activities, web filtering, secure coding, configuration management y data leakage prevention— que reflejan el panorama operativo actual: nube como default, amenazas activas que no esperan, privacidad como ingredient.

La certificación en ISO 27001:2022 es emitida por un organismo certificador acreditado independiente, mediante un proceso de auditoría externa en dos fases (Stage 1 documental, Stage 2 operativo) tras la implementación del SGSI por parte de la organización. La vigencia del certificado es de tres años con auditorías de vigilancia anuales y recertificación al tercer año.

Por qué ISO 27001 importa hoy en México

El contexto mexicano cambió. La ciberseguridad pasó de ser tema de área TI a obligación regulatoria, contractual y de gobierno corporativo. ISO 27001 funciona como el lenguaje común que satisface múltiples frentes con un solo programa:

  • Plan Nacional de Ciberseguridad APF 2025-2030. Los entes de la Administración Pública Federal y su cadena de proveedores TIC tienen obligaciones de gobernanza, controles técnicos y reporte. Un SGSI ISO 27001 maduro cubre la base requerida y simplifica el reporte. Detalle en Plan Nacional de Ciberseguridad — Guía APF.
  • Ley de Ciberseguridad de México (esperada DOF S2-2026). La iniciativa actualmente en discusión amplía obligaciones a operadores de infraestructura crítica nacional y formaliza el rol del CISO. La estructura propuesta alinea con ISO 27001 como marco operativo base. Análisis en Ley de Ciberseguridad de México 2026.
  • CNBV, Banxico y sector financiero regulado. Las Disposiciones de Carácter General aplicables a las instituciones de crédito y la Circular Única exigen marco de seguridad documentado, gestión de riesgo de TI y reporte de incidentes. ISO 27001 es la implementación más reconocida por auditores y reguladores. Detalle por subsector en Ciberseguridad para sector financiero.
  • LFPDPPP y NOM-151. Los controles ISO complementan las obligaciones de protección de datos personales (medidas de seguridad administrativas, físicas y técnicas) y de conservación de mensajes de datos. Implementar SGSI cubre buena parte del cumplimiento ARCO desde la operación.
  • Due diligence enterprise y cliente extranjero. El comprador corporativo —especialmente fintechs, SaaS B2B y proveedores de servicios profesionales que operan con clientes de EE.UU. o Europa— exige certificación o roadmap formal antes de firmar contrato. Sin ISO, el deal se cae en compliance review.
  • Pólizas de ciberriesgo. Las aseguradoras solicitan evidencia de programa de seguridad documentado para emitir o renovar póliza. El SGSI ISO ofrece esa evidencia auditable.
  • M&A. El comprador exige certificación o un roadmap a 12 meses como condición de cierre. La ausencia de SGSI reduce valuación o frena la operación.
  • Ventaja competitiva LATAM. La base de organizaciones certificadas en México es aún acotada. Certificarse hoy diferencia comercialmente y posiciona para licitaciones del sector público en los próximos 24-36 meses.

Las 4 etapas del journey ISO 27001

Cada organización entra al journey ISO 27001 en un punto distinto. Esta sección enruta según intención específica. Empieza por entender los requerimientos si nunca tocaste el estándar; pasa a hoja de ruta cuando ya sabes que necesitas certificarte y necesitas timeline; entra a consultoría cuando necesitas acompañamiento operativo experto; profundiza en Declaración de Aplicabilidad cuando estás definiendo el alcance del SGSI.

Etapa 1 · Entendimiento

Requerimientos del SGSI · ISO 27001:2022

Qué exige la norma en términos prácticos: las 7 cláusulas obligatorias (4 a 10), los 93 controles del Annex A, la documentación mínima del SGSI, los registros que un auditor externo va a pedir. Lectura técnica para responsables que necesitan mapa antes de presupuestar.

Etapa 2 · Hoja de ruta

Hoja de ruta de certificación ISO 27001

Timeline típico de 12 a 24 meses, fases (gap analysis, diseño SGSI, implementación, auditoría interna, pre-auditoría externa, certificación Stage 1 + Stage 2), errores frecuentes que retrasan, presupuesto orientativo y decisiones tempranas que afectan costo total.

Etapa 3 · Consultoría

Consultoría e implementación ISO 27001

Acompañamiento experto operativo: diseño del SGSI, definición de alcance, política de seguridad, gestión documental, evaluación de riesgos, selección de controles, evidencia de operación, preparación para auditoría externa. Para organizaciones que necesitan brazos y método, no solo guía teórica.

Etapa 4 · Declaración de Aplicabilidad

Declaración de Aplicabilidad (SoA) · guía

El documento más crítico del SGSI: justifica cuáles de los 93 controles del Annex A aplican a la organización, cuáles se excluyen y por qué. Monográfico técnico con plantilla, criterios de inclusión-exclusión y ejemplos de redacción correcta versus rechazada por auditor.

Annex A 2022 · 93 controles agrupados en 4 themes

El Annex A de ISO 27001:2022 contiene 93 controles de referencia organizados en cuatro themes funcionales. Cada control se evalúa para inclusión o exclusión en el SGSI según el resultado de la evaluación de riesgos. La justificación de cada decisión se documenta en la Declaración de Aplicabilidad.

ThemeControlesEjemplos representativos
Organizational37Políticas de seguridad, roles y responsabilidades, clasificación de información, gestión de activos, supplier security, threat intelligence, gestión de incidentes
People8Verificación de antecedentes, concientización y formación, proceso disciplinario, acuerdos de confidencialidad, trabajo remoto seguro
Physical14Perímetro físico, control de acceso a áreas, escritorio limpio, mantenimiento de equipos, destrucción segura de medios
Technological34Control de acceso lógico, criptografía, backup, logging y monitoring, configuration management, vulnerability management, secure coding, data leakage prevention
Total93Annex A completo · ISO/IEC 27001:2022

Cambio crítico vs 2013: la versión anterior tenía 114 controles en 14 categorías. La consolidación a 93 no reduce el alcance; reagrupa por función y elimina solapamientos. Las organizaciones que ya estaban certificadas en 2013 ejecutaron el mapeo de migración durante el periodo de transición que cerró en octubre de 2025.

Cláusulas obligatorias 4 a 10 del SGSI

Las cláusulas 1 a 3 de ISO 27001:2022 son introductorias (alcance, referencias normativas, términos y definiciones). Las cláusulas 4 a 10 son los requisitos de cumplimiento obligatorio para certificación. Sin las 7 cláusulas implementadas, documentadas y evidenciadas, más el Annex A y el SoA, la certificación no procede.

  • Cláusula 4 · Contexto de la organización. Identificación de factores internos y externos, comprensión de necesidades y expectativas de las partes interesadas, alcance del SGSI y procesos del sistema.
  • Cláusula 5 · Liderazgo. Compromiso de la alta dirección, política de seguridad de la información, roles, responsabilidades y autoridades organizacionales.
  • Cláusula 6 · Planificación. Acciones para abordar riesgos y oportunidades, evaluación de riesgos de seguridad, tratamiento de riesgos, objetivos de seguridad y planificación de cambios.
  • Cláusula 7 · Apoyo. Recursos, competencia, concientización, comunicación e información documentada (creación, actualización y control de documentos).
  • Cláusula 8 · Operación. Planificación y control operacional, ejecución de la evaluación de riesgos y del tratamiento de riesgos como procesos vivos.
  • Cláusula 9 · Evaluación del desempeño. Seguimiento, medición, análisis y evaluación; auditoría interna; revisión por la dirección.
  • Cláusula 10 · Mejora. No conformidades, acciones correctivas y mejora continua del SGSI.

El auditor externo verifica que cada cláusula esté implementada, documentada y operando. La diferencia entre una certificación que pasa y una que se rechaza está en la evidencia operativa: actas de revisión por la dirección firmadas, registros de auditoría interna con hallazgos cerrados, acciones correctivas trazables, no en la perfección teórica del documento.

Threat-Informed Compliance · el diferenciador QMA

La implementación tradicional de ISO 27001 sigue el orden del Annex A: empezar por Organizational, terminar por Technological, marcar controles como aplican o no aplican. El SoA queda completo, el auditor firma, la organización certifica. Y al día siguiente del certificado, los atacantes siguen explotando vulnerabilidades activas que la organización no priorizó porque el orden alfabético del Annex no lo indicaba.

En QMA convertimos ISO 27001 de checklist de auditoría en compliance threat-informed. Cada uno de los 93 controles del Annex A se prioriza con inteligencia de amenazas real: qué CVEs están en explotación activa contra el sector del cliente, qué TTPs MITRE ATT&CK utilizan los actores observados operando en LATAM, qué cadenas de ataque están comprometiendo organizaciones comparables en este momento. La intel propietaria que alimenta esta priorización la publicamos diariamente en nuestros canales operativos: KEV-1 para vulnerabilidades en explotación activa y Zero Day Universe para la inteligencia narrativa de actores y campañas.

El resultado operativo es concreto. El roadmap de certificación cierra primero los controles que bloquean los TTPs que vimos explotando esta semana en el sector del cliente, no los que el ordenamiento alfabético del Annex A marca. Si el sector financiero mexicano está siendo objetivo de campañas de credential stuffing y compromiso de identidad privilegiada, los controles de gestión de accesos, autenticación robusta y monitoreo de privileged sessions suben al frente del plan, antes que los controles de gestión documental. El SoA resultante no es teórico: refleja qué controles efectivamente reducen riesgo medido contra amenazas observadas.

Este enfoque no sustituye la rigurosidad documental que el auditor externo va a verificar; la complementa. La diferencia se ve en dos lugares: el orden de implementación durante los 12 a 24 meses del journey, y la conversación con la dirección sobre por qué se invirtió primero en X y no en Y. Detalle metodológico en Metodologías QMA.

Cross-framework mapping · una sola implementación, múltiples marcos

ISO 27001:2022 no opera en aislamiento. Los 93 controles del Annex A mapean a los marcos que los reguladores, auditores y clientes corporativos también solicitan. Diseñar el SGSI con visibilidad cross-framework desde el día uno evita duplicar esfuerzo cuando un mismo cliente pide ISO, otro pide SOC 2 y el regulador pide alineación con NIST.

Si te certificas en ISO 27001:2022, también avanzas en…Cobertura aproximada
NIST Cybersecurity Framework 2.0 — Govern, Identify, Protect, Detect, Respond, Recover~80%
SOC 2 Trust Services Criteria — Security (TSC común), Availability, Confidentiality~70%
PCI DSS 4.0 — Build & Maintain, Identify, Protect, Detect~50%
CIS Critical Security Controls v8 — especialmente Implementation Group 2~75%
MITRE ATT&CK Enterprise — mapeo defensivo TTPs → controles ISOcobertura por TTP
LFPDPPP México — medidas de seguridad ARCO + conservación de datos~60%

QMA mantiene este mapping cross-framework actualizado como base operativa interna. Cuando implementamos ISO 27001 con un cliente, el roadmap avanza simultáneamente en NIST CSF, SOC 2, PCI DSS y CIS — sin duplicar evidencia, sin duplicar política, sin duplicar la conversación con la dirección. La estructura del SGSI absorbe los requisitos comunes y solo los gaps específicos de cada marco se trabajan aparte. Para sectores regulados, este enfoque también cubre la base del marco abuelo de gobernanza: Gobernanza, Riesgo y Cumplimiento (GRC) integral.

QMA Certeza · monitoreo continuo del SGSI

QMA Certeza es la capa de cumplimiento gestionado de QMA que automatiza el monitoreo continuo de los 93 controles del Annex A mapeados a NIST CSF, SOC 2, PCI DSS y MITRE ATT&CK. Bajo el enfoque Threat-Informed Compliance, prioriza el estado de los controles según inteligencia de amenazas real, no según el orden del estándar. La lectura del CISO es continua: qué controles están operando, cuáles tienen evidencia desactualizada y cuáles bloquean amenazas activas hoy.

Certeza recolecta y mapea la evidencia de forma cruzada entre marcos, monitorea el estado de los controles y mantiene el SGSI audit-ready de forma continua, de modo que cada auditoría de vigilancia llegue sin la carrera de última hora. Para organizaciones que integran seguridad de la información con calidad (ISO 9001), administra ambos sistemas sobre la estructura común y evita duplicar evidencia.

Hablar con un especialista Conocer QMA Certeza

Cómo empezamos

El journey ISO 27001 absorbe meses de trabajo serio. Empezar bien evita rehacer documentación, evita ampliar alcance a última hora y evita gastar consultoría en gaps que no eran prioritarios. Estos son los tres pasos iniciales del acompañamiento QMA:

  1. Diagnóstico de madurez ISO 27001 (60 a 90 minutos, sin costo). Sesión técnica para entender contexto, sector, regulación aplicable, alcance candidato del SGSI, controles ya implementados y gaps relevantes respecto a ISO 27001:2022. Salida: lectura honesta del punto de partida.
  2. Propuesta de ruta ajustada a tu etapa. Si necesitas entender, te enrutamos al material adecuado del cluster. Si necesitas consultoría, propuesta personalizada de acompañamiento operativo. Si necesitas un CISO con foco ISO 27001 operando dentro de tu organización, el servicio CISO as a Service cubre esa modalidad (programa de duración acotada o inmersivo extendido).
  3. Acompañamiento operativo. Diseño del SGSI, evaluación de riesgos, selección de controles, evidencia de operación, auditoría interna, preparación para auditoría externa Stage 1 y Stage 2. Trabajo en cadencia con tu equipo, no entregables sueltos.

Agendar diagnóstico ISO 27001

¿Quiere ver la IA en acción? Conozca la Automatización de Cuestionarios y el Agente de Completado de Evaluaciones de la plataforma QMA Certeza.

Preguntas frecuentes

¿Cuál es la diferencia entre ISO 27001 e ISO 27002?

ISO/IEC 27001 define el Sistema de Gestión de Seguridad de la Información: el proceso de cómo gobernar, evaluar riesgos, implementar controles, medir y mejorar. ISO/IEC 27002 es la guía técnica de los 93 controles del Annex A. Las empresas se certifican en 27001, no en 27002. La 27002 se referencia como ayuda de implementación.

¿Cuánto tiempo toma certificarse en ISO 27001?

El timeline típico para una organización mediana sin base previa va de 12 a 24 meses desde gap analysis hasta certificación Stage 2 emitida. Organizaciones pequeñas con alcance acotado pueden cerrar en 9 a 12 meses; organizaciones grandes con múltiples sedes o alcance complejo pueden necesitar 24 a 36 meses. La duración depende del estado inicial, el alcance definido y la disponibilidad real del equipo del cliente. Detalle en la hoja de ruta de certificación.

¿Cuánto cuesta certificarse en ISO 27001?

El costo se compone de tres bloques: consultoría e implementación interna (variable según alcance y madurez previa), tiempo del propio equipo del cliente (significativo y frecuentemente subestimado) y la auditoría externa por el organismo certificador acreditado (cuota anual recurrente). No publicamos rangos sin entender contexto porque cualquier número fuera de contexto induce error. El diagnóstico inicial sin costo cierra rango realista para tu caso.

¿La auditoría externa la realiza QMA?

No, y por diseño. El organismo certificador debe ser independiente y acreditado. QMA acompaña en el diseño, implementación, evidencia de operación, auditoría interna y preparación. El certificado lo emite el organismo certificador externo tras Stage 1 (documental) y Stage 2 (operativo). Esa separación protege la validez del certificado.

¿Es obligatorio en México certificarse en ISO 27001?

No existe ley federal mexicana que exija ISO 27001 a toda organización privada. Sin embargo, la obligatoriedad llega por tres vías: regulación sectorial específica (CNBV, Banxico para financiero), el Plan Nacional de Ciberseguridad APF y su cadena de proveedores, y la iniciativa de Ley de Ciberseguridad esperada en el segundo semestre de 2026 para infraestructura crítica. En el sector privado, el cliente corporativo o extranjero típicamente lo solicita como condición contractual.

¿Qué cambió entre ISO 27001:2013 y ISO 27001:2022?

El Annex A se reorganizó de 114 controles en 14 categorías técnicas a 93 controles agrupados en 4 themes (Organizational, People, Physical, Technological). Se introdujeron 11 controles nuevos: threat intelligence, ICT readiness for business continuity, information security for use of cloud services, monitoring activities, web filtering, secure coding, data masking, data leakage prevention, configuration management, deletion y physical security monitoring. Las cláusulas 4 a 10 mantienen su estructura con ajustes menores. El periodo de transición para certificados 2013 cerró en octubre de 2025.

¿Qué es la Declaración de Aplicabilidad (SoA)?

Es el documento que justifica, para cada uno de los 93 controles del Annex A, si aplica al SGSI o se excluye, y el porqué. Es uno de los entregables más críticos del SGSI: el auditor lo revisa en detalle y rechaza redacciones genéricas. El SoA refleja el resultado de la evaluación de riesgos. Profundización completa en la guía de Declaración de Aplicabilidad.

¿Puedo certificarme solo en una parte de mi organización?

Sí. El alcance del SGSI lo define la organización en la cláusula 4.3 y queda documentado en la política de seguridad y en el certificado. Es válido y frecuente certificar solo una unidad de negocio, una sede, un proceso o una línea de servicio. La decisión sobre alcance es una de las más estratégicas del journey: alcance muy amplio dispara costo y tiempo; alcance muy estrecho deja al certificado sin valor comercial real frente a clientes.

¿ISO 27001 cubre las obligaciones del Plan Nacional de Ciberseguridad APF?

Buena parte del marco operativo, sí. El Plan Nacional 2025-2030 establece ejes de gobernanza, controles técnicos, gestión de incidentes y reporte que un SGSI ISO 27001 maduro cubre como base. Sin embargo, el Plan introduce obligaciones específicas para entidades APF y su cadena de proveedores TIC que requieren capas adicionales de implementación y reporte. Análisis detallado en Plan Nacional de Ciberseguridad — Guía APF.

¿Cómo se relaciona ISO 27001 con SOC 2, PCI DSS y NIST CSF?

Hay un solapamiento importante: ISO 27001 cubre aproximadamente el 80% de NIST CSF 2.0, el 70% de SOC 2 Security TSC, el 50% de PCI DSS 4.0 y el 75% de CIS Controls v8. Implementar el SGSI con visibilidad cross-framework desde el día uno permite avanzar simultáneamente en múltiples marcos sin duplicar evidencia. Es la base operativa de cualquier programa serio que enfrenta múltiples solicitudes regulatorias o contractuales.

Solicitar diagnóstico ISO 27001 sin costo

Scroll al inicio